security

Проблема квантовой угрозы для крипты больше не выглядит чем-то из далёкого будущего. После решений NIST, предупреждений от Coinbase и обновлений от Google проектам приходится определяться: за словами про «quantum-ready» стоит реальный план или просто маркетинг.
В августе 2024 года NIST утвердил первые три стандарта постквантовой криптографии и прямо рекомендовал начинать переход уже сейчас. Крайний срок обозначен жёстко — к 2035 году уязвимые алгоритмы с открытым ключом должны уйти из использования.
К тем же выводам пришли и в Coinbase. В своём недавнем отчёте советники компании отметили, что блокчейны, кошельки, биржи и кастодианы должны готовиться заранее, не дожидаясь давления со стороны рынка. При этом отсутствие чётких решений по переходу уже начинает отпугивать часть инвесторов.
В марте свою позицию обозначил и Google. Компания наметила внутренний дедлайн по переходу на постквантовую криптографию к 2029 году и обновила модель угроз, сделав акцент на системах аутентификации.
Во всех этих случаях подход одинаковый: речь уже не о теоретической угрозе, а о готовности действовать. В итоге вопрос постквантовой защиты выходит за рамки криптографии и превращается в проверку самих проектов — их управления, стратегии и доверия к ним.
Проблема перехода на всех уровнях
В отчёте Coinbase подчёркивается, что переход на постквантовую криптографию затрагивает не отдельные компоненты, а всю инфраструктуру целиком. Речь идёт о консенсусе, уровне исполнения, кошельках, биржах, кастодианах, системах управления ключами и даже оборудовании.
Основная сложность в том, что не все элементы готовы двигаться с одинаковой скоростью. Аппаратные кошельки и модули безопасности обновляются медленно, поддержка MPC может отличаться в зависимости от алгоритма, а многие крупные блокчейны до сих пор не выбрали конкретные постквантовые подписи.
В NIST это называют крипто-гибкостью. По сути, это способность быстро менять алгоритмы на всех уровнях, от протоколов до железа, не ломая работу системы. И именно здесь у большинства проектов пока нет чёткого ответа, готовы ли они к такому переходу.
Отдельный вопрос — BTC. По данным Coinbase, разработчики сети пока придерживаются выжидательной позиции. Но такая осторожность создаёт неопределённость на рынке. Уже сейчас около 13,6 млн адресов имеют раскрытые публичные ключи, и в случае перехода потребуется как минимум несколько месяцев скоординированной работы.
Пока сообщество обсуждает возможные решения вроде BIP 361, другие игроки стараются действовать быстрее. В отчёте отмечается, что у Ethereum уже есть план миграции, а L2-решения вроде Optimism, Arbitrum и Base заявили о подготовке к постквантовой защите. Например, Optimism даже обозначил конкретную дату — январь 2036 года, после которой старые ключи ECDSA перестанут контролировать активы.
Есть и более практические шаги. Algorand сообщил, что провёл первую постквантовую транзакцию в основной сети ещё в 2025 году, используя подписи Falcon.
Параллельно тему подхватывают и инфраструктурные компании. Trezor продвигает свои устройства с упором на «квантовую готовность», включая не только подписи транзакций, но и проверку прошивки и оборудования. В облаке ситуация похожая. AWS уже добавила поддержку новых алгоритмов и гибридных решений, показывая, что переход — это не отдалённая перспектива, а задача ближайших лет.
Фактически рынок уже начал разделяться. Компании, которые предлагают конкретные решения, постепенно усиливают позиции, а те, кто ограничивается заявлениями, рискуют потерять доверие.
Проверка на доверие
Готовность к постквантовой эпохе постепенно становится маркером зрелости. Компании используют её как сигнал рынку, ещё до того как сама угроза станет реальной. Примерно так же раньше работали proof-of-reserves, аудиты и сертификаты безопасности.
В отчёте Coinbase прямо говорится, что сообществам лучше не тянуть с решениями. Чем дольше сохраняется неопределённость, тем сильнее это влияет на поведение инвесторов уже сейчас.
Похожий подход у NIST. Там рассматривают переход на постквантовую криптографию как долгосрочную программу, которая затрагивает всю организацию. Речь идёт не только об алгоритмах, но и об учёте оборудования, совместимости систем, управлении и бюджетировании.
Государства тоже подключаются. Китай заявил, что хочет разработать собственные стандарты в течение трёх лет, с приоритетом для финансового и энергетического сектора. В Великобритании обозначили ключевые этапы на 2028, 2031 и 2035 годы, привязав к ним инвестиционные решения и стратегию безопасности.
США и Южная Корея ориентируются на тот же горизонт до 2035 года, рассматривая крипторынок как часть более широкой трансформации.
Дополнительное давление создаёт и технологический прогресс. В марте Google представила исследование, в котором показала, что для взлома современных криптографических схем может понадобиться значительно меньше ресурсов, чем считалось раньше. Речь идёт о сокращении требований почти в 20 раз.
При этом в Google отмечают, что завышенные или неточные оценки тоже вредят рынку. Они создают лишний шум и подрывают доверие ещё до появления реальной угрозы.
В итоге получается простая картина. Вопрос уже не только в том, когда появятся квантовые компьютеры нужного уровня. Важно, как проекты ведут себя сейчас. Как отмечают в Coinbase, доверие уже стало фактором рынка, независимо от того, наступит ли эта угроза завтра или через годы.
Два сценария для постквантового перехода
Если хотя бы несколько крупных экосистем покажут внятные и детальные планы перехода, сама тема постквантовой защиты быстро перестанет быть просто пунктом для проверки. Она станет реальным конкурентным преимуществом при работе с институционалами.
Это уже начинает проявляться на уровне инфраструктуры. Примеры вроде Trezor и AWS показывают, что «квантовая готовность» постепенно превращается из абстрактной идеи в конкретный продукт.
На этом фоне рынок может пойти по одному из двух путей.
В первом случае проекты начинают играть в открытую. Они публикуют конкретные алгоритмы, сроки перехода, планы обновления кошельков и кастодиальных решений, продумывают работу с оборудованием и управлением ключами. Для рынка это выглядит как зрелый и серьёзный подход.
Да, сам переход остаётся сложным, но он хотя бы управляемый. В такой ситуации готовность к постквантовой эпохе становится важным фактором при выборе партнёров. Выигрывают те, кто прорабатывает всё сразу, от протокола до инфраструктуры. А провалом считается любая дыра в этой цепочке, отсутствие сроков или чёткого плана.
Во втором сценарии всё ограничивается громкими заявлениями. Проекты говорят о «quantum-ready», но не раскрывают деталей. Нет выбора алгоритмов, нет сроков, нет понимания, как будут обновляться кошельки, оборудование и ключевая инфраструктура.
Снаружи это выглядит как маркетинг без содержания. Внутри это означает, что зависимости не проработаны, и в момент реальной необходимости переход может просто не состояться. В таком случае неопределённость начинает работать против проекта. Институциональные игроки скорее выберут тех, кто уже показывает конкретные шаги, даже если их решения ещё не идеальны.
Отдельная проблема в том, что таких «пустых» дорожных карт может становиться всё больше. Уже сейчас многие блокчейны не определились даже с базовыми вещами, например с выбором постквантовых подписей. Если рынок уйдёт в сторону размытых обещаний, это станет сигналом слабого управления.
В итоге выигрывать будут те, кто двигается синхронно по всей цепочке. Не только команды L1 и L2, но и разработчики кошельков, производители оборудования, провайдеры KMS, биржи и кастодианы. Только такой подход позволяет реально подготовиться к переходу.
Главное, что меняется сейчас — сам контекст. После действий Coinbase, NIST и крупных технологических компаний квантовый риск перестал быть чем-то отдалённым. Репутационное разделение уже началось, и проекты, которые воспринимают постквантовый переход как задачу настоящего момента, выглядят для рынка заметно надёжнее.
#BTC #security #quantumcomputers #Write2Earn
$BTC

Серия недавних атак на Drift и Kelp показывает, что рынок столкнулся уже не с отдельными взломами, а с устойчивой кампанией против инфраструктуры DeFi. За немногим более две недели из сектора вывели свыше $500 млн. И чем дальше, тем заметнее, что цель злоумышленников — не только отдельные протоколы, а сама связность крипторынка.
Речь идет о более опасной фазе. Если раньше атаки чаще ассоциировались с биржами, компрометацией учетных данных или ошибками в смарт-контрактах, то теперь под удар попадает «техническая прослойка» рынка: мосты, механизмы повторного использования активов и межсетевые каналы передачи данных. Именно там сейчас сосредоточена самая уязвимая часть экосистемы.
Атаки перестают быть разовыми эпизодами
Ключевой вывод из истории с Drift и Kelp состоит в темпе. Между двумя крупными инцидентами прошло меньше трех недель, а суммарный ущерб уже превысил полмиллиарда долларов. Это меняет саму рамку обсуждения.
Когда крупные потери повторяются с такой частотой, рынок уже не может считать их совпадением. Возникает ощущение последовательной стратегии, в которой атаки подбираются не хаотично, а по принципу максимального эффекта для всей системы.
Kelp взломали не через криптографию
Особенно показателен случай с Kelp. Атака не была связана со взломом ключей или разрушением шифрования. Система работала так, как была задумана, но злоумышленники подали ей ложные входные данные, которые она приняла как достоверные.
Это и делает инцидент опаснее. Проблема возникла не из-за фантастически сложной уязвимости, а из-за того, как была собрана сама архитектура доверия. Система проверила, кто отправил сообщение, но не смогла убедиться, что само сообщение правдиво.
Слабым местом стала конфигурация
В основе атаки лежал не только общий дизайн, но и конкретный выбор конфигурации. Kelp использовал одного верификатора для подтверждения межсетевых сообщений. Такой подход быстрее и проще в эксплуатации, но он убирает важный слой защиты.
Именно здесь и проявляется системная проблема DeFi. Формально протокол может быть децентрализованным, но если одна из нижних технических опор работает по упрощенной схеме, вся конструкция становится хрупкой. В такой системе один неверный вход может превратиться в каскадный сбой.
Удар быстро вышел за пределы одного протокола
На этом инцидент не остановился. Активы, задействованные в Kelp, использовались и в других приложениях, в том числе как залог в кредитных протоколах. Это превратило локальный взлом в системный эпизод.
Именно поэтому последствия дошли до Aave. Когда зараженный актив встроен в цепочку обязательств, проблема перестает быть проблемой одного проекта. Она начинает передаваться дальше — через ликвидность, залоги, расчеты и доверие пользователей.
DeFi снова показал свою главную уязвимость
Рынок часто продает идею децентрализации как свой главный плюс. Но инцидент с Kelp показывает, что децентрализация — это не ярлык, а набор технических решений. Если хотя бы один уровень системы централизован или слишком упрощен, весь бренд «децентрализованности» быстро теряет смысл.
Именно это особенно болезненно для сектора. Пользователь видит один интерфейс и один токен, но за ними скрывается длинная цепочка зависимостей. И прочность этой цепочки определяется самым слабым звеном, а не самыми красивыми обещаниями команды.
Хакеры смещают фокус на инфраструктуру
Важный сдвиг заметен и в выборе целей. Если раньше главным объектом атак были биржи или очевидные уязвимости в коде, сейчас под удар все чаще попадает «сантехника» рынка — мосты, межсетевые протоколы, повторное использование активов, валидаторы и конфигурационные слои.
Это логично. Именно в этих участках сосредоточено много стоимости, а наблюдать за ними сложнее. Они глубже встроены в рынок, менее понятны обычному пользователю и чаще зависят от человеческих решений при настройке. Для атакующего это почти идеальная комбинация.
Проблема не в неизвестных рисках, а в известных
Самое неприятное в этой истории то, что она не открыла новую категорию угроз. Напротив, она показала, что экосистема все еще не умеет закрывать хорошо известные слабые места. Речь не о черном лебеде, а о повторении уже знакомого сценария в новой обертке.
Именно поэтому атака выглядит такой тревожной. Если рынок продолжает оставлять критические настройки на усмотрение команд и операторов, то скорость адаптации злоумышленников будет выше скорости исправлений. А это уже стратегическая проблема.
Для DeFi это не просто убытки, а кризис модели
Потери в $500 млн за две с лишним недели — это не только вопрос денег. Это удар по всей модели доверия в секторе. DeFi по-прежнему обещает открытый доступ, гибкость и капиталовую эффективность, но каждый такой эпизод напоминает, что за эту эффективность рынок платит сложностью и хрупкостью.
Чем больше активов движется между сетями и протоколами, тем сильнее один сбой заражает остальные элементы системы. Это делает инфраструктурные атаки особенно разрушительными. Они не просто крадут средства, а подрывают уверенность в том, что экосистема вообще умеет изолировать риск.
Что дальше?
Главная угроза сейчас — не только новые атаки, а повторение уже известных моделей. Если рынок не перейдет от рекомендаций к обязательным стандартам безопасности, такие инциденты будут повторяться. И с каждым разом цена будет выше.
Сектору придется делать неприятный выбор. Либо он жертвует частью скорости, простоты и доходности ради более жесткой архитектуры безопасности, либо продолжает жить в режиме, где один сбой внизу стека способен обрушить доверие ко всему рынку. Судя по последним событиям, времени на этот выбор остается все меньше.
#HackerAlert #security #defi #Write2Earn
$BNB

Когда речь заходит о потере криптовалюты, многие сразу представляют “взлом биржи” или сложные атаки хакеров. На практике всё гораздо прозаичнее: в большинстве случаев средства уходят из-за обычных пользовательских ошибок. И самое неприятное — эти ошибки повторяются каждый день.
1. Установка фейкового кошелька 💸
Одна из самых распространённых схем — поддельные приложения и сайты, внешне почти не отличающиеся от оригинала. Пользователь скачивает “кошелёк”, вводит seed-фразу, и средства исчезают. Реальный совет: всегда скачивайте кошельки только с официальных сайтов или проверенных магазинов приложений, а ссылку лучше сохранять в закладки.
2. Хранение seed-фразы в заметках телефона 📵
Это одна из самых недооценённых угроз. Телефон может быть украден, взломан или синхронизирован с облаком. Если seed лежит в обычных заметках, доступ к средствам получает любой, кто получит доступ к устройству или аккаунту. Лучший вариант — офлайн-запись на бумаге или металлической пластине.
3. Фишинговые сайты обменников и бирж 🔗
Очень часто мошенники создают копии популярных платформ с адресом, который отличается всего одной буквой. Внешне всё выглядит оригинально, но после входа данные сразу попадают к злоумышленникам. Практический совет: никогда не переходите по ссылкам из сообщений и рекламы, а вводите адрес вручную.
4. Фейковые airdrop’ы и “подарки” 🎁
Сообщения в духе “вам начислен бонус, подключите кошелёк” — одна из самых популярных ловушек. После подключения пользователь подписывает вредоносную транзакцию, и токены списываются. Главное правило: бесплатные раздачи почти всегда требуют проверки через официальный канал проекта.
5. Эмоции и спешка 😓
Самая опасная ошибка — принимать решения в панике. Именно в момент FOMO, страха или жадности люди чаще всего попадаются на мошенников.
Главный вывод: крипта теряется не из-за блокчейна, а из-за недостатка цифровой гигиены. Иногда одна лишняя минута проверки может сохранить весь капитал.
#Crypto #Security #CyberSecurity #Web3 #ScamAlert

ИИ захлестнул криптоиндустрию волной ложных отчётов о безопасности: платформы bug bounty фиксируют резкий рост числа заявок, значительная часть которых генерируется с помощью искусственного интеллекта и оказывается фиктивной.
Программы bug bounty — это механизм вознаграждения «этичных» хакеров за обнаружение уязвимостей в коде. В криптоиндустрии они широко распространены: протоколы и биржи готовы платить за реальные находки. Но ИИ изменил правила игры. Генеративные модели позволяют быстро и дёшево обрабатывать большие массивы кода в поиске потенциальных слабых мест — однако при этом нередко «галлюцинируют», выдавая несуществующие проблемы за реальные угрозы.
900% за год
Барри Планкетт (Barry Plunkett), основатель и генеральный директор Cosmos Labs, в соцсети X написал, что его программа за год получила на 900% больше заявок — от 20 до 50 в день. По его словам, это привело к росту как обоснованных, так и ложных отчётов одновременно.
Проблема затронула и другие организации: произошло заметное увеличение числа заявок и выплат по bug bounty. Часть поступающих отчётов описывает несуществующие уязвимости, что указывает на использование ИИ при их подготовке. Ключевая причина — снижение стоимости создания отчёта: там, где раньше требовались часы ручной работы, теперь достаточно нескольких минут с языковой моделью.
Ситуация вышла за пределы криптоиндустрии ещё в январе. Дэниел Стенберг (Daniel Stenberg), создатель широко используемого инструмента для передачи данных Curl — в том числе в блокчейн-инфраструктуре, — объявил о закрытии своей программы bug bounty. Причина: шквал автоматически сгенерированного мусора в заявках, разбор которых попросту истощил его ресурсы.
ИИ против ИИ
Cosmos Labs уже адаптировал подход: ужесточил систему оценки заявок, отдаёт приоритет исследователям с подтверждённой репутацией и сотрудничает с провайдерами bug bounty, предлагающими более продвинутую фильтрацию на входе.
Очевидно, единственным работающим ответом на ИИ-шум станет ИИ-фильтрация. Небольшие команды особенно уязвимы: у них нет ресурсов вручную обрабатывать десятки ежедневных заявок. Автоматизированные защитные системы для первичной сортировки входящих отчётов становятся не опцией, а необходимостью. Параллельно программам придётся устанавливать более строгие требования к формату и содержанию заявок, чтобы сократить поток некачественных материалов.
#AI #AImodel #security #Write2Earn
$ETH